Estación Informática: Man In The Middle

Mostrando entradas con la etiqueta Man In The Middle. Mostrar todas las entradas

Nueva vulnerabilidad SMB afecta a todas las versiones de Windows

Hola a tod@s

Nuevo fallo al protocolo SMB (Server Message Block) que afecta a todas las versiones de Windows, esta vulnerabilidad ha sido clasificada como grave. Dicha vulnerabilidad permite que un atacante pueda robar las credenciales de servicios del usuario.

El error está relacionado con la forma en que Windows y otro software manejan algunas peticiones HTTP, y los investigadores dicen que afecta a una amplia gama de aplicaciones, incluyendo iTunes y Adobe Flash, algunos clientes de GitHub, Oracle y AVG Anti-virus. La vulnerabilidad, divulgada el lunes por los investigadores en Cylance, es una extensión de la investigación realizada por Aaron Spangler hace casi 20 años, conocida como “redirect to SMB”. Esta debilidad puede permitir a un atacante forzar a las víctimas para que se autentiquen mediante hijacking en un servidor controlado por el atacante, mediante ataques man-in-the-middle y luego enviarlos a servidores maliciosos SMB. Con lo que ello supone, robo de credenciales.

Microsoft todavía tiene que lanzar un parche para arreglar la redirección a la vulnerabilidad SMB. La solución más simple es bloquear el tráfico saliente de TCP 139 y 445 TCP en el firewall.

Microsoft no resolvió el problema reportado por Aaron Spangler en 1997. Esperamos que esta nueva investigación obligue a Microsoft a reconsiderare esta vulnerabilidad y deshabilite la autenticación con servidores SMB no confiables.

Fuentes: https://threatpost.com/new-smb-flaw-affects-all-versions-of-windows/112134?hootPostID=e1a6c6b3834c6b202f75079d9f3c3f56

No seáis malos.

LENOVO no era el único con SuperFish

Adware Ciberespionaje Malware Man In The Middle

n0ipr0cs Add Comment

n0ipr0cs

Hola a tod@s

La semana pasada nos levantamos con la noticia del descubrimiento de malware en muchos portátiles LENOVO, al parecer traían de fabrica un malware llamado SuperFish. Sin embargo la sorpresa ya ha sido mayúscula cuando también se ha confirmado que productos de seguridad informática como Comodo y Lavasoft también incluían SuperFish.

SuperFish realmente es un adware, se trata de un tipo de malware que además de insertar publicidad contextual mientras se navega por la web, también puede comprometer conexiones seguras y los certificados de seguridad SSL, dando la posibilidad de poder recibir ataques man-in-the-middle.

Si ya estábamos “flipando” y la noticia indigno al mundo de la seguridad, en la que corría ríos de bit s comentándolo en listas de correos, blogs etc, ahora esto va ser “el cachondeo padre”.

Sin duda se agrava, que empresas de seguridad informática, como Comodo y Lavasoft, también han incluido el software malicioso en algunas de sus aplicaciones antivirus y de seguridad. El problema reside en que productos de software de las dos compañías citadas utilizan el motor Komodia, que también usa SuperFish.

Mientras tanto, Lavasoft ha reaccionado de una manera muy rápida después de haberse hecho pública la noticia y ha lanzado una actualización de software que subsana la vulnerabilidad. Por otro lado, Comodo ha reportado que el único problema con SuperFish se encuentra en una de las versiones de PrivDog y que solucionará el problema a la mayor brevedad.

El otro día me consultaban que si seguirán apareciendo casos similares a SuperFish, mi respuesta fue rotunda, SI, aparecerá nuevos casos similares.

Fuentes: http://arstechnica.com/security/2015/02/security-software-found-using-superfish-style-code-as-attacks-get-simpler/

https://filippo.io/

No seáis malos.

Evil Foca

¿Y tu de quien eres? ARP Spoofing DHCP ACK Injection DNS Hijacking DoS IPv4 IPv6 Man In The Middle

n0ipr0cs Add Comment

n0ipr0cs

Hola a tod@s

Hoy en ¿Y Tú de Quien Eres? Traemos a la Foca, pero esta vez a la foca mas maligna. Ya hace unos meses que Chema dio a conocer su nueva creación. Esta herramienta permite realizar ataques a redes IPv4 e IPv6.

Vamos a encontrar varios tipos de ataque como DHCPv6, WPADv6 o el famoso SLAAC.

También disponemos del archiconocido MITM utilizando ARP spoofing.

Imagen 1: MITM ARP spoofing

Para hacerlo funcionar seleccionamos la puerta de enlace y la dirección ip de nuestra víctima, a continuación comenzar con el botón start. Como ya sabemos, le haremos creer a la victima que somos la puerta de acceso y a la puerta de acceso que somos la víctima, un MITM de toda la vida, consiguiendo con ello snifar todo el tráfico.

Otro de los ataques que disponemos en IPv4 es el ataque DHCP ACK Injection.

Imagen 2: DHCP ACK Injection

Este ataque dispone nuestra maquina como un servidor DHCP en la red, claro está falso, los nuevos clientes de la red enviaran las peticiones a nosotros, digamos que actuaríamos con puerta de enlace.

El ataque también se puede lanzar a todos los equipos o a un equipo con una MAC en concreto.

El siguiente ataque es un DoS, denegación de servicio puro y duro hacia una maquina. Ataque disponible para IPv6 e IPv4.

Imagen 3: DoS en IPv4

No podía faltar en este arsenal de ataque a redes de datos, el DNS Hijacking, que nos permite suplantar un dominio cualquiera por la dirección ip que le indiquemos, para realizar este ataque antes hay que hacer un ataque MiTM a la ip víctima y luego lanzamos el DNS Hijacking.